Ситуация следующая.
Когда в админке заводится новое облачное хранилище (с использованием амазона) , битрикс уже пытается создать bucket на сервере амазона и ругается, если имя, под которым он пытается создать уже там есть.
Чем это плохо.
Нельзя использовать для бэкапов ключи от пользователей с ограниченными правами, точнее можно, но "через крышу": создать хранилище с одними ключами (от пользователя с правами на все), а потом поменять их на другие, от пользователя с правами только на нужную директорию (все (или я думаю у 90% людей) бэкапы делаются сейчас вообще под "рутовой" учеткой, которая имеет доступ в том числе и к билинговой информации на амазоне).
И как следствие нельзя выделить раздел на сервере исключительно для конкретного пользователя (которого нужно заводить на сервере амазона, но про это нигде кроме как на амазоне даже и не упомянули в инструкциях и многочисленных постах), и как следствие выше описанного, человек получивший через адмику вашего сайта ключи от сервера амазона, подключившись к нему через клиента, используя эти ключи, получает доступ ко всем бэкапам, которые хранятся на сервере.
И если там бэкапится только один сайт, то это полбеды, но как правило люди с одними и теме же ключами быкапят все свои сайты в одно место, в итоге доступ ко всем бэкапам всех сайтов, и да, по умолчанию бэкапы шифруются только для облака битрикса, под остальные хранилища нужно руками проставлять галочку "шифровать". Думаю не трудно представить какой процент эту галочку ставит и сколько не ставят.
В итоге, что бы я добавил:
1. Включение шифрования по умолчанию для всех типов хранилищ.
2. Сделать возможным, что бы битрикс не пытался создать bucket на сервере амазона сам.
3. Сделать возможным в ручную прописывать путь, куда складывать на сервере бэкапы (что бы не обязательно было заводить новый bucket под каждый сайт), что даст возможность более гибко настраивать структуру хранения данных на самом сервере, политику безопасного доступа и избавит от подмены ключей на этапе заведения хранилищ в адмике битрикса.
Для подключения, существует компонент security.user.otp.init
Административный интерфейс, увы, пока не приспособлен для подключения этих приложений, но это будет исправлено в ближайших обновлениях.